Рекордний штраф для Coupang, злом користувачів Claude Code та інші події кібербезпеки - ForkLog

# Рекордний штраф для Coupang, злом користувачів Claude Code та інші події у сфері кібербезпеки

Ми зібрали найважливіші новини зі світу кібербезпеки за тиждень.

• Microsoft відключила десятки репозиторіїв на GitHub після атаки на користувачів Claude Code.
• Хактивісти атакували користувачів з України за допомогою уразливості в WinRAR.
• OpenClaw провалив фішингові тести.
• Незадоволений дослідник продовжив «війну» з Microsoft після патчів попередніх уразливостей.

Microsoft відключила десятки репозиторіїв на GitHub після атаки на користувачів Claude Code

Microsoft тимчасово закрила доступ до десятків своїх open source-репозиторіїв на GitHub після впровадження у код шкідливого ПЗ. Про хакерську кампанію Miasma повідомили аналітики Cloudsmith та OpenSourceMalware.

Під обмеження потрапили щонайменше 70 проектів, багато з яких пов’язані з платформою Azure. Йдеться про репозиторії з інструментами, які розробники використовують у додатках для штучного інтелекту, включаючи Claude Code, Gemini CLI та VS Code.

За даними експертів, шкідливе було спрямоване на крадіжку паролів та інших чутливих облікових даних. Воно активувалося, коли користувачі відкривали скомпрометовані інструменти.

В Cloudsmith рекомендували вжити заходів безпеки:

• негайно змінити SSH-ключі, токени GitHub, паролі від хмарних сервісів (Azure/GCP) та доступи до автоматичних систем збірки;
• шукати приховані процеси у редакторах коду (VS Code), чужі ІІ-утиліти та нові незрозумілі папки (репозиторії) у компанії GitHub;
• у майбутньому не завантажувати оновлення сторонніх бібліотек з інтернету. Скласти список дозволених програм і вести їх облік.

Представник Microsoft Бен Хоуп заявив у коментарі TechCrunch, що компанія тимчасово видалила частину репозиторіїв для перевірки потенційно шкідливого контенту. Частину з них вже відновили.

Хактивісти атакували користувачів з України за допомогою уразливості в WinRAR

Хактивісти групувань SHADOW-EARTH-066 (UAC-0226) та Gamaredon атакували українські державні установи через уразливість у архіваторі WinRAR. Про це повідомили дослідники Trend Micro та Sekoia.

Помилка обходу каталогів дозволяє зловмисникам при розпакуванні архіву непомітно зберігати шкідливі файли за межами цільової папки — безпосередньо у автозавантаження.

Приклад документа-приманки, який використовується для створення відчуття невідкладності та примусу до взаємодії. Джерело: Trend Micro За даними фахівців, ланцюги заражень влаштовані наступним чином:

• SHADOW-EARTH-066. Використовує архіви з фейковими PDF-документами для прихованої установки інфостилера GIFTEDCROOK. Програма краде паролі з браузерів та цільові документи. Варто зазначити, що через блокування у РФ хакери перестали використовувати Telegram для ексфільтрації даних, перейшовши на власні сервери;
• Gamaredon. Групування, пов’язане з ФСБ, використовує експлойт у «промислових масштабах». Їхня багатоступенева атака розгортає загрузчики, які доставляють у систему черв’я GammaWorm (розповсюджується через зараження USB-накопичувачів) та стилер GammaSteel (завантажує викрадені файли у хмару AWS).

Експерти відзначають, що глибока інтеграція застарілої версії WinRAR у повсякденну роботу організацій в Україні робить її ідеальною точкою входу для хакерських кампаній.

OpenClaw провалив фішингові тести

Дослідники Varonis перевірили OpenClaw у ролі ІІ-агента для роботи з поштою і дійшли висновку, що система вразлива до прийомів, які зазвичай використовують проти людей.

В рамках експерименту вони змоделювали чотири фішингові атаки і перевірили поведінку агента у двох конфігураціях. Для тестів OpenClaw підключили до Gmail, браузерних інструментів, API Google Workspace та набору синтетичних внутрішніх даних.

Фреймворк протестували на базі Google Gemini 3.1 Pro та OpenAI GPT-5.4 у стандартному та «жорсткому» режимах з окремими інструкціями щодо перевірки особистості та антифішингових процедур.

Джерело: Varonis. Симуляції фішингових атак:

• видання користувача за керівника команди з запитом доступу до тестового середовища під час нібито виниклої проблеми у робочій. OpenClaw знайшов і надіслав ключі AWS IAM, облікові дані баз даних і реквізити для доступу через SSH на зовнішню електронну пошту Gmail;
• запит вивантаження даних про клієнтів під приводом віддаленої роботи над презентацією. Агент витягнув і надіслав вивантаження з CRM, що містить записи про клієнтів, контактну інформацію, деталі контрактів і дані про доходи, не перевіривши особистість відправника;
• ІІ-система отримала підробленого електронного листа з подарунковою карткою, що містить фішингове посилання. За стандартної конфігурації агент перейшов на фішинговий сайт і спробував активувати подарункову картку з використанням вигаданих облікових даних, перш ніж у кінцевому підсумку розпізнав сторінку як шкідливу. Жорстка конфігурація заблокувала атаку миттєво;
• дослідники створили шкідливий додаток Google OAuth, замасковане під платформу для обліку робочого часу. OpenClaw перевірив процес авторизації OAuth, проаналізував пункт призначення, визначив додаток як підозрілий і відмовив у наданні доступу.

Незадоволений дослідник продовжив «війну» з Microsoft після патчів попередніх уразливостей

Дослідник кібербезпеки під псевдонімом Nightmare Eclipse розкрив нову 0-day-уразливість у Microsoft Defender, що отримала назву RoguePlanet.

Експлойт дозволяє атакуючим підвищити свої привілеї до максимального рівня SYSTEM і виконувати довільний код навіть на повністю оновлених машинах під управлінням Windows 10 і Windows 11.

Інцидент став продовженням публічного конфлікту між хакером і ІТ-гігантом. Ще в квітні Nightmare Eclipse пообіцяв публікувати уразливості нульового дня після кожного патчу, випущеного інженерами Microsoft. Червневе оновлення якраз закрило кілька його попередніх знахідок (GreenPlasma, MiniPlasma і YellowKey), що спровокувало негайний реліз RoguePlanet.

Фахівці кібербезпеки ThreatLocker у коментарі BleepingComputer повідомили, що успішно відтворили атаку під час власного тестування. Вони підтвердили, що експлойт працює на повністю оновлених системах Windows 11 з встановленим патчем KB5094126.

Корейського техгіганта оштрафували на $400 млн за витік даних

Комісія з захисту персональної інформації Південної Кореї (PIPC) призначила технологічному гіганту Coupang рекордний штраф у 624,6 млрд вон (приблизно $409 млн) після масштабної витоку даних.

За версією регулятора, через недостатні заходи безпеки — зокрема проблеми з управлінням ключами аутентифікації та контролем доступу — були розкриті персональні дані приблизно 37,55 млн осіб. Дочірня структура Coupang Fulfillment Service окремо отримала штраф у 248 млн вон за незаконний збір, використання та обробку персональних і чутливих даних клієнтів.

PIPC також вказала на порушення вимог щодо знищення даних і повідомлення про витік, а також на втручання у роботу незалежного співробітника з захисту даних і перешкоджання розслідуванню.

Витік стався у червні 2025 року, але виявили його лише у листопаді. Через місяць у Coupang повідомили про компрометацію 33,7 млн акаунтів. За даними правоохоронців, головний підозрюваний — 43-річний громадянин Китаю, який працював у ІТ-підрозділі компанії у 2022–2024 роках.

Також на ForkLog:

• Євроюст закрив криптосервіс AudiA6.
• Глава Anthropic закликав посилити нагляд за ІІ-моделями.
• Meta видалила функцію розпізнавання облич із смарт-очок після скандалу.
• Пул ліквідності Raydium зазнав зламу на $1,34 млн.
• Токен Humanity Protocol обвалився після хакерської атаки на $31 млн.
• Yuga Labs врятувала NFT на $500 000.

Що почитати на вихідних?

ForkLog розібрався, як влаштована бізнес-модель Strategy, чому критики називають її фінансовою пірамідою, а прихильники — прикладом ефективного управління ризиками